Как открыть смарт карту на виндовс 10

Обновлено: 05.07.2024

В этой статье рассказывается о том, как смарт-карты для служб Windows (прежнее название — диспетчер ресурсов смарт-карт) управляют средствами чтения и взаимодействия с приложениями.

Служба смарт-карт для Windows предоставляет базовую инфраструктуру для всех других компонентов смарт-карт, так как она управляет устройствами чтения смарт-карт и взаимодействиями приложений на компьютере. Она полностью совместима со спецификациями, заданными в Рабочей группе PC/SC. Сведения об этих спецификациях можно найти на веб-сайте спецификации для рабочих групп PC/SC.

Служба смарт-карт для Windows выполняется в контексте локальной службы и реализована как общая служба процесса узла служб (SVCHOST). На смарт-картах службы Windows, Скардсвр, описана следующая служба.

* Примечание для винскард. dll, вызываемого в качестве правильного установщика класса, INF-файл для устройства чтения с помощью смарт карт должен указывать следующие для *класса и классгуид:
>
>

По умолчанию служба настроена для ручного режима. Создатели драйверов для устройства чтения смарт-карт должны настроить их для автоматического запуска службы, и винскард. dll вызывают предопределенную точку входа, чтобы запустить службу во время установки. Точка входа определена как часть класса SmartCardReader и не вызывается напрямую. Если устройство объявляет себя как часть этого класса, точка входа автоматически вызывается для запуска службы при вставке устройства. Использование этого метода гарантирует, что при необходимости служба будет включена, но она также будет отключена для пользователей, не использующих смарт-карты.

При запуске службы выполняются несколько функций.

Он регистрируется для уведомлений служб.

Он регистрируется для уведомлений о самои воспроизведении (PnP), связанных с удалением и дополнениями устройств.

Он инициализирует свой кэш данных и глобальное событие, которое сигнализирует о том, что служба запущена.

**** Примечание . для реализаций смарт-карт рассмотрите вопрос о том, как отправлять все коммуникации в операционных системах Windows со смарт-картами для службы Windows. Это обеспечивает интерфейс для отслеживания, выбора и связи со всеми драйверами, которые объявляют себя с членами группы устройств чтения смарт-карт.

Служба смарт-карт для Windows предназначена для классификации всех разъемов устройства чтения смарт-карт как уникальных средств чтения, и каждый слот также управляется отдельно, независимо от физических характеристик устройства. Служба смарт-карт для Windows обрабатывает следующие действия высокого уровня:

Введение в устройство

Уведомление клиентов о новых средствах чтения

Сериализация доступа к читателям

Доступ со смарт-картой

Туннелирование команд, специфических для средства чтения

Иногда при добавлении смарт-карты может появиться ошибка. Эта ошибка связана с определением устройств на компьютере и установкой для него драйвера. Самостоятельно компьютер не сможет найти подходящий драйвер так как почти все смарт карты снабжаются специальным программным обеспечением куда входит и драйвер для них.


1. Подключение производится через "Удаленный рабочий стол" (RDP). Рутокен вставлен в компьютер, к которому подключаются удаленно

Эта схема является неправильной. С подробным описанием можно ознакомиться в этой статье.

2. Проблема со службой "Смарт-карта"

При локальном подключении (или при правильном подключении по RDP) эта ошибка указывает на проблемы со службой "Смарт-карта".

Для решения воспользуйтесь одним из следующих способов:

В большинстве случаев, проблемы со службой "Смарт-карта" можно решить этим способом.


В поле "Введите имена выбираемых объектов" введите LO

Нажмите "Проверить имена"

Выберите Local Service

Попробуйте Запустить/Перезапустить службу.


1) Win7, Vista, Win8/8.1, Win10

•Запустите файл (smart-card-7) из вложения

•Переустановите службу смарт-карт согласно инструкции из вложения (Smart-Card-XP)

4. Возможно какое-либо ПО может блокировать службу "Смарт-карта". Совместно с системным администратором произведите поиск ПО, которое может вызывать проблемы со службой "Смарт-карта".

5. Иногда ошибка может быть в самой операционной системе. Порой приходится переустанавливать сервис пак, или саму ОС .

В этом разделе для ИТ-специалистов описано, как настроить базовую тестовую среду для использования виртуальных смарт-карт TPM.

Виртуальные смарт-карты — это технология корпорации Майкрософт, которая предлагает сопоставимые преимущества в области безопасности в двух-факторной проверке подлинности с физическими смарт-картами. Кроме того, они обеспечивают большее удобство для пользователей и более низкую стоимость развертывания для организаций. С помощью устройств Trusted Platform Module (TPM), которые предоставляют те же криптографические возможности, что и физические смарт-карты, виртуальные смарт-карты выполняют три ключевых свойства, которые нужны смарт-картам: неэкспортивность, изолированная криптография и антикорминг.

В этом пошаговом октайе показано, как настроить базовую тестовую среду для использования виртуальных смарт-карт TPM. После завершения этого погона на компьютере будет установлена функциональная виртуальная смарт-карта Windows.

Требования к времени

Вы должны быть в состоянии завершить это пополнение менее чем за один час, исключая установку программного обеспечения и настройку тестового домена.

Действия по погонам

**** Важно Эта базовая конфигурация предназначена только для тестовых целей. Он не предназначен для использования в производственной среде.

Предварительные условия

Компьютер с Windows 10 с установленным и полностью функциональным TPM (версия 1.2 или версия 2.0).

Тестовый домен, к которому можно присоединить указанный выше компьютер.

Доступ к серверу в этом домене с полностью установленным и работающим органом сертификации (CA).

Шаг 1. Создание шаблона сертификата

На сервере домена необходимо создать шаблон сертификата, который будет запрашивать виртуальная смарт-карта.

Создание шаблона сертификата

На сервере откройте консоль управления Майкрософт (MMC). Один из способов сделать **** это — **** ввестиmmc.exeв меню Пуск, щелкнуть правой кнопкой мыши mmc.exeи нажмите кнопку Выполнить в качестве администратора.

Щелкните Файл, а затем щелкните Добавить или удалить оснастку.

Добавление или удаление оснастки.

В доступном списке оснастки щелкните шаблонысертификатов и нажмите кнопку Добавить.

Добавление шаблонов сертификатов.

Шаблоны сертификатов теперь находятся в консоли Root в MMC. Дважды щелкните его, чтобы просмотреть все доступные шаблоны сертификата.

Щелкните правой кнопкой мыши шаблон Логотип Smartcard и щелкните Дубликат шаблона.

На вкладке "Совместимость" в органе сертификациипросмотрите выбор и измените его при необходимости.

Вкладка совместимости, параметр сертификации.

На вкладке General:

Укажите имя, например логотип виртуальной смарт-карты TPM.

Установите период действия до нужного значения.

На вкладке Обработка запросов:

Установите логотип Purpose to Signature и smartcard.

Щелкните Подсказка пользователя во время регистрации.

На вкладке Криптография:

Установите минимальный размер ключа до 2048.

На вкладке Безопасность добавьте группу безопасности, к которую необходимо предоставить доступ для регистрации. Например, если вы хотите предоставить доступ всем **** пользователям, выберите группу **** пользователей с проверкой подлинности и выберите для них разрешения на регистрацию.

Выберите файл, а затем нажмите кнопку Добавить или Удалить snap-in, чтобы добавить оснастку сертификационного органа на консоль MMC. На вопрос, какой компьютер вы хотите управлять, выберите компьютер, на котором расположен ЦС, вероятно, локальный компьютер.

Добавление привязки к органу сертификации.

В левой области MMC расширите управление сертификацией (Local), а затем расширите свой ЦС в списке сертификационного органа.

Щелкните правой кнопкой мыши шаблоны сертификатов, нажмите кнопку Newи нажмите кнопку Шаблон сертификата для выпуска.

Щелкните правой кнопкой мыши меню шаблонов сертификатов.

В списке выберите только что созданный шаблон (TPM Virtual Smart Card Logon), а затем нажмите кнопку ОК.

**** Примечание Может занять некоторое время, чтобы ваш шаблон реплицируется на все серверы и становится доступным в этом списке.

После репликации шаблона в MMC щелкните правой кнопкой мыши в списке Сертификация, щелкните Все задачи инажмите кнопку Стоп-служба. Затем щелкните правой кнопкой мыши имя ЦС еще раз, нажмите кнопку Все задачи, а затем нажмите кнопку Начните службу.

Остановка и запуск службы.

Шаг 2. Создание виртуальной смарт-карты TPM

На этом шаге вы создадим виртуальную смарт-карту на клиентский компьютер с помощью средства командной строки Tpmvscmgr.exe.

Создание виртуальной смарт-карты TPM

На компьютере, подключимом к домену, откройте окно Командная подсказка с административными учетными данными.

Cmd prompt, Run as administrator.

В командной подсказке введите следующее, а затем нажмите кнопку ENTER:

tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate

Это позволит создать виртуальную смарт-карту с именем TestVSC, опустить ключ разблокировки и создать файловую систему на карте. ПИН-код будет установлен по умолчанию, 12345678. Чтобы получить запрос на ПИН-код, вместо /pin-кода по умолчанию можно ввести /pin-код.

Дополнительные сведения о средстве командной строки Tpmvscmgr см. в дополнительных сведениях Об использовании виртуальных смарт-карт и Tpmvscmgr.

Подождите несколько секунд, пока процесс завершится. По завершении Tpmvscmgr.exe предоставит вам ID экземпляра устройства для виртуальной смарт-карты TPM. Храните этот ID для более поздней ссылки, так как он потребуется для управления или удаления виртуальной смарт-карты.

Виртуальная смарт-карта должна быть оборудована сертификатом регистрации, чтобы она была полностью функциональной.

Откройте консоль Сертификаты, введя certmgr.msc в меню Пуск.

Щелкните правой кнопкой мыши Личный, щелкните все задачи, а затем нажмите кнопку Запрос нового сертификата.

Запрос нового сертификата.

Следуйте подсказкам и при выборе списка шаблонов выберите поле TPM Virtual Smart Card Logon (или все, что вы назвали шаблоном в шаге 1).

Если вам будет предложено устройство, выберите виртуальную смарт-карту Майкрософт, соответствующую созданной в предыдущем разделе. Он отображает в качестве устройства удостоверения (Microsoft Profile).

Введите ПИН-код, созданный при создания виртуальной смарт-карты TPM, а затем нажмите кнопку ОК.

Подождите, пока регистрация завершится, а затем нажмите кнопку Готово.

Виртуальная смарт-карта теперь может использоваться в качестве альтернативной учетной данных для входа в домен. Чтобы убедиться, что конфигурация виртуальных смарт-карт и регистрация сертификатов были успешными, выпишитесь из текущего сеанса и впишитесь. При входе вы увидите значок для новой виртуальной смарт-карты TPM на экране Secure Desktop (вход), или вы будете автоматически направлены в диалоговое окно для входной карточки смарт-карты TPM. Щелкните значок, введите ПИН-код (при необходимости), а затем нажмите кнопку ОК. Вы должны быть подписаны на свою учетную запись домена.

SD-карта может не обнаруживаться в Windows 10 по разным причинам, от сбоя интерфейса компьютера до защиты от записи SD-карты или отсутствия буквы диска на SD-карте.

В большинстве случаев вы сможете заставить компьютер обнаружить SD-карту, выполнив действия по устранению неполадок, указанные ниже.

1. Убедитесь, что SD-карта рабочая

Извлеките SD-карту и снова вставьте ее в слот для SD-карты. Проверьте, отображается ли она в проводнике.

Если она не отображается, извлеките SD-карту и вставьте ее в другой слот для SD-карты на компьютере (если он есть).

2. Снимите защиту от записи SD-карты


Если SD-карта защищена от записи, она может отображаться только на исходном устройстве и останется скрытой на всех других устройствах.

Если вы ранее заблокировали SD-карту, проверьте переключатель блокировки на SD-карте и убедитесь, что он не установлен в заблокированное положение.

3. Назначьте букву диска

Проблема с тем, что SD-карта не отображается в проводнике, обычно возникает из-за отсутствия буквы диска на SD-карте.


Щелкните правой кнопкой мыши кнопку Пуск и выберите Управление дисками .

На экране управления дисками ваша SD-карта должна появиться с прикрепленной к ней буквой диска (например, такими буквами, как D или E).

Почитать Что такое лаунчер TouchWiz и как отключить его на смартфонах Samsung?


Если буква диска отсутствует, щелкните правой кнопкой мыши Съемный диск и выберите Изменить букву диска или путь к диску.. .


Во всплывающем окне нажмите на опцию Изменить .


На следующем экране выберите параметр Назначить следующую букву диска > Назначить новую букву диска в раскрывающемся списке и нажмите ОК .

Закройте экран управления дисками и откройте проводник, чтобы проверить, отображается ли SD-карта в проводнике.

4. Обновите драйвер SD-карты

Иногда проблема возникает из-за того, что накопитель SD-карты не обновляется и становится несовместимым с последней версией Windows 10, установленной на компьютере.


Щелкните правой кнопкой мыши кнопку Пуск и выберите Диспетчер устройств . На экране диспетчера устройств щелкните SD-карту правой кнопкой мыши и выберите параметр Обновить драйвер .

На следующем экране выберите параметр Автоматический поиск драйверов и разрешите Windows найти и установить нужный драйвер.

5. Включите устройство для чтения SD-карты


Щелкните правой кнопкой мыши кнопку Пуск и выберите Диспетчер устройств . На экране диспетчера устройств щелкните SD-карту правой кнопкой мыши и выберите параметр Включить устройство .

Примечание. Если вы видите параметр Отключить устройство, это означает, что устройство уже включено.

Иногда при добавлении смарт-карты может появиться ошибка. Эта ошибка связана с определением устройств на компьютере и установкой для него драйвера. Самостоятельно компьютер не сможет найти подходящий драйвер так как почти все смарт карты снабжаются специальным программным обеспечением куда входит и драйвер для них.

Диспетчер ресурсов смарт-карт не выполняется

Решение 1:
Убедитесь в том, что на рабочей станции, к которой подключена добавляемая смарт-карта, запущена и работает служба Смарт-карта. Для управления работой служб необходимо обладать правами Локального администратора.

Решение 2:
Убедитесь в том, что адрес сервера Indeed CM добавлен в зону Местная интрасеть (Local Intranet) браузера рабочей станции, к которой подключена смарт-карта.

Криптопро не видит ключ JaCarta, решаем за минуту

Описание окружения

Есть виртуальная машина на Vmware ESXi 6.5, в качестве операционной системы установлена Windows Server 2012 R2. На сервере стоит КриптоПРО 4.0.9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip, подключен ключ JaCarta. Ключ в системе видится, а вот в КриптоПРО нет.

Алгоритм решения проблем с JaCarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.


Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.

Возможные причины с определением контейнера

  1. Во первых, это проблема с драйверами, например, в Windows Server 2012 R2, JaCarta в идеале должна определяться в списке смарт карт как JaCarta Usbccid Smartcard, а не Microsoft Usbccid (WUDF)
  2. Во вторых если устройство видится как Microsoft Usbccid (WUDF), то версия драйверов может быть устаревшей, и из-за чего ваши утилиты будут не определять защищенный USB носитель.
  3. Устарелая версия CryptoPRO

Как решить проблему, что криптопро не видит USB ключ?

Создали новую виртуальную машину и стали ставить софт все последовательно.

  • Первым делом обновляем вашу операционную систему, всеми доступными обновлениями, так как Microsoft исправляет много ошибок и багов, в том числе и драйверами.
  • Вторым пунктом является, в случае с физическим сервером, установить все свежие драйвера на материнскую плату и все периферийное оборудование.
  • Далее устанавливаете Единый Клиент JaCarta.
  • Устанавливаете свежую версию КриптоПРО

Установка единого клиента JaCarta PKI


Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows, у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.


Принимаем лицензионное соглашение и нажимаем "Далее"


Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.


Если выберете "Выборочную установку", то обязательно установите галки:

  • Драйверы JaCarta
  • Модули поддержки
  • Модуль поддержки для КриптоПРО


Далее нажимаем "Установить".


Через пару секунд, Единый клиент Jacarta, успешно установлен.


Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.


Установка КриптоПРО

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.


На текущий момент самая последняя версия КриптоПро CSP 4.0.9944. Запускаем установщик, оставляем галку "Установить корневые сертификаты" и нажимаем "Установить (Рекомендуется)"


Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.


После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через клиента Anywhere View. В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.


Открыв утилиту "Единый клиент Jacarta PKI", подключенного токена обнаружено не было, значит, что-то с драйверами.


Откройте диспетчер устройств Windows, найдите пункт "Считыватели устройств смарт-карт (Smart card readers)" щелкните по Microsoft Usbccid (WUDF) и выберите пункт "Свойства". Перейдите на вкладку "Драйвера" и нажмите удалить (Uninstall)


Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).


Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.


После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.


Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6.1.7601 от ALADDIN R.D.ZAO, так и должно быть.


Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.


Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.


ОБЯЗАТЕЛЬНО снимите галку "Не использовать устаревшие cipher suite-ы" и перезагрузитесь.


После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.


Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,


Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления, в котором так же есть виртуальная консоль.

Не возможно подключиться к службе управления смарт-картами


  1. Не запущена служба смарт-карт на локальной машине. Архитектурой RDP-сессии, разработанной Microsoft, не предусмотрено использование ключевых носителей, подключенных к удалённому компьютеру, поэтому в RDP-сессии удалённый компьютер использует службу смарт-карт локального компьютера. Из этого следует что, запуска службы смарт-карт внутри RDP-сессии недостаточно для нормальной работы.
  2. Служба управления смарт-картами на локальном компьютере запущена, но недоступна для программы внутри RDP-сессии из-за настроек Windows и/или RDP-клиента.
  • Запустите службу смарт-карт на локальной машине, с которой вы инициируете сеанс удалённого доступа. Настройте её автоматический запуск при старте компьютера.
  • Разрешите использование локальных устройств и ресурсов во время удалённого сеанса (в частности, смарт-карт). Для этого, в диалоге "Подключение к удалённому рабочему столу" в параметрах выберите вкладку "Локальные ресурсы", далее в группе "Локальные устройства и ресурсы" нажмите кнопку "Подробнее…", а в открывшемся диалоге выберите пункт "Смарт-карты" и нажмите "ОК", затем "Подключить".


Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.

Читайте также: